是否可以检测应用程序是否使用了runas命令打开?
我如何检测所使用的用户?
runas /netonly /user:DOM\usr "C:\App.exe"
您可以使用以下方法检查运行应用程序的用户:
System.Security.Principal.WindowsIdentity.GetCurrent()
/netonly
,无法在本地进程中获取提供的凭据。 LSA会处理这个问题,据我所知,您无法从本地进程中执行此操作。runas /netonly /user:FAKE\fake something.exe
即使凭证未被检查...因此,直到进行远程身份验证之前,您基本上不会获得认证令牌。
我唯一能想到的解决方案是尝试运行一个返回用户凭据的远程进程。
你可以在Windows事件查看器的Windows日志 > 安全中看到:
每当你使用/runas命令和/netonly选项运行时,你将在事件ID 4624或甚至4628下看到相应信息。
在这个例子中,我使用以下命令打开了一个VS 2022 Community Edition的实例:
runas /netonly /user:MYDOMAIN\MYUSER "C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\DEVENV.EXE"
https://learn.microsoft.com/en-us/dotnet/api/system.diagnostics.eventlog?view=windowsdesktop-7.0